Tagesordnungspunkt
TOP Ö 5: Tätigkeitsbericht des Datenschutzbeauftragten
Bezeichnung | Inhalt |
---|---|
Sitzung: | 18.07.2022 KT/009/2022 |
Beschluss: | zur Kenntnis genommen |
Dokumenttyp | Bezeichnung | Aktionen |
---|
Die Mitglieder des Kreistages nehmen die Ausführungen zur Kenntnis.
Herr Scherf
begrüßt Frau Jankowsky, UB 2.1, sowie den Datenschutzbeauftragten Herrn Merten.
Dieser stellt seinen Tätigkeitsbericht vor:
Die Datenschutzreform 2018 hat die Gemeinden vor umfangreiche Aufgaben gestellt.
Die Datenschutz-Grundverordnung weist dem Verantwortlichen in diesem Zusammenhang insbesondere die folgenden Pflichten zu:
Der Verantwortliche ist für die Einhaltung der in Art. 5 Abs. 1 DSGVO normierten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich. Er muss die Einhaltung dieser Grundsätze nachweisen können („Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).
Der Verantwortliche ist Adressat der Rechte der betroffenen Personen nach Art. 12 ff. DSGVO (gegebenenfalls in Verbindung mit dem hierbei einschlägigen nationalen Recht). Er hat somit sicherzustellen, dass diese Rechte ordnungsgemäß wahrgenommen werden können.
Nach Art. 24 DSGVO hat der Verantwortliche im Hinblick auf die jeweilige Verarbeitung und unter Berücksichtigung der mit ihr einhergehenden Risiken für die Rechte und Freiheiten natürlicher Personen angemessene und geeignete technische und organisatorische Maßnahmen umzusetzen. Diese Verpflichtung wird insbesondere durch die Vorgaben des Art. 25 DSGVO („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) und des Art. 32 DSGVO („Sicherheit der Verarbeitung“) näher konkretisiert.
Der Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen (Art. 30 DSGVO). Dieses Verarbeitungsverzeichnis stellt zugleich einen wichtigen Bestandteil dar, um der in Art. 5 Abs. 2 DSGVO normierten Rechenschaftspflicht Genüge zu tun.
Verletzungen des Schutzes personenbezogener Daten hat der Verantwortliche nach Maßgabe des Art. 33 DSGVO an die zuständige Aufsichtsbehörde zu melden. Unter den Voraussetzungen des Art. 34 DSGVO sind in einem solchen Fall zudem die betroffenen Personen durch den Verantwortlichen zu benachrichtigen.
Bei bestimmten Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, hat der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO).
Öffentliche Stellen haben als Verantwortliche in jedem Fall einen Datenschutzbeauftragten zu benennen (Art. 37 Abs. 1 Buchst. a DSGVO).
Zusammenfassend:
„Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung ist diejenige öffentliche Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Damit trägt die Leitung der jeweiligen öffentlichen Stelle die Verantwortung für den Datenschutz in ihrem Zuständigkeitsbereich.
Der Verantwortliche hat zu gewährleisten, dass die datenschutzrechtlichen Vorgaben der Datenschutz-Grundverordnung eingehalten werden und die Verarbeitung personenbezogener Daten in seinem Verantwortungsbereich rechtmäßig erfolgt. Er muss die Einhaltung der Verarbeitungsgrundsätze nachweisen können.
Dies erfordert ein umfassendes Datenschutzmanagement-System.
Ausgangssituation:
- 2018 Inkrafttreten der DSGVO und des BayDSGneu
- Nahezu alle Kommunen agieren ohne systematischen Datenschutz.
- Die Umsetzung bedeutet einen nichtüberschaubaren Aufwand, Ressourcen sind nicht vorhanden.
- Der kommunale Prüfungsverband hatte bislang 0,1 Stelle DSB pro Gemeinden veranschlagt.
- Die neuen Pflichten sind ungleich umfangreicher und erfordern mehr Zeit.
- Es gab oft keine Trennung von Datenschutz und Geschäftsleitung
- Informationssicherheit war bislang weitgehend nicht geregelt.
Lösungsansatz: Gemeinsamer Datenschutz im
Landkreis Miltenberg: Umsetzung ab Herbst 2019
17.10.2019 Zweckvereinbarung über die Bestellung eines gemeinsamen behördlichen Datenschutzbeauftragten
2019/ 2020 Austausch mit den Datenschutzverantwortlichen Bestandsaufnahmen, vertiefende Vorbereitungen für ein Datenschutzmanagement mit „Pilotgemeinden“
Ende 2020 Vorstellung der konkreten Maßnahmenplanung mit Schreiben an die Gemeinden
Okt. 2021 Fertigstellung der Erfassung und Beschreibung aller Verarbeitungsprozesse (VVT)
Gewaltenteilung
gem. DSGVO und Zweckvereinbarung
· Wesentlich bei der Zweckvereinbarung ist die Systematik einer Gewaltenteilung zwischen
dem Verantwortlichen
den Fachbereichsleitungen
der IT
dem Informationssicherheitsbeauftragten
dem Datenschutzbeauftragten
· Erforderlichen Maßnahmen zur Umsetzung der DSGVO:
Zur Umsetzung hat der Gemeinsame Datenschutzbeauftragte einen Maßnahmenplan erstellt auf Basis der Arbeitshilfe zur Datenschutzreform des Bayerischen Staatsministeriums des Innern der uns in der aktualisierten Form (Stand März 2022) als gute Handlungsleitlinie dient.
Schrittweiser Aufbau eines Datenschutzmanagements
· Erster Schritt: Bestandsaufnahme bei allen Kommunen
Beteiligte: Bürgermeister/in – Geschäftsleiter/in – örtlicher DS-Koordinator und DSB
Von Anfang an waren prägend die sehr gute Kooperation und die
kollegiale
Zusammenarbeit!
· Erstellung der Geschäftsordnung: „Dienstanweisungen Datenschutz“ als formale Grundlage zur Regelung von Zuständigkeiten und Verfahren.
- Damit werden die
Zuständigkeiten und Verantwortlichkeiten für alle Bediensteten
transparent.
- Der Datenschutz
ist eine gemeinsame Aufgabe und ein dauerhafter Prozess aller
Mitarbeiterinnen und Mitarbeiter.
· In Umsetzung der Dienstanweisung auch Benennung des gemeinsamen DSB, Meldung an die Aufsichtsbehörde, Einstellung in das Bayernportal – Transparenz auch nach außen.
·
Erfassung
und Beschreibung aller Verarbeitungsprozesse (VVT)
-
Das Verzeichnis der Verarbeitungstätigkeiten liefert den
Verantwortlichen und dem
Datenschutzbeauftragten einen guten Überblick über die einzelnen Verarbeitungen
von
datenschutzrechtlicher Relevanz.
- Nur
so kann die Behördenleitung Ihren umfassenden Verantwortlichen-Pflichten
nachkommen.
- Die
Beschreibungen der Verarbeitungsprozesse und das Verzeichnis und bilden damit
den Kern des Datenschutzmanagements.
- Beschreibung
aller Prozesse durch die jeweiligen Fachbereiche der Gemeinden in
Abstimmung mit dem DSB. – Synergieeffekt durch arbeitsteiliges Vorgehen.
- Inhalt: Beschreibungen aller Kernprozessen wurden inzwischen erstellt im Hinblick auf:
- Zweck der Datenerfassung
- Rechtsgrundlage
- Datenkategorien
- Betroffene
- Empfänger der Daten
- Übermittlung in Drittländer
- Aufbewahrungsdauer - Löschfrist
Derzeit
erfolgen sukzessive die Gegenprüfungen auf Verwendbarkeit für alle Gemeinden
bei den
Referenzgemeinden: Stadt Amorbach, Stadt Obernburg, Markt Eschau,
VG
Erftal, VG Stadtprozelten, Gemeinde Collenberg
Eine Regelmäßige Fortschreibung garantiert stets Aktualität und hohe Qualität des Datenschutzmanagementsystems.
- Umsetzung der Informationspflichten des Verantwortlichen nach
Art.13 DSGVO
Datenschutzhinweise können aus den Prozessbeschreibungen entwickelt werden.
· Die Datenschutzhinwiese geben Auskunft über Zweck, Umfang und Dauer der Datenverarbeitung und benennen transparent alle Betroffenenrechte der DSGVO.
·
Vertragsmanagement
– Erfassung der Auftragsverarbeitungsverträge (AVV)
· DSGVO-Konformitätsprüfung sämtlicher Auftragsverarbeitungen Externer (vergleichbar der AKDB- und komuna-GmbH bei den Gemeinden)
· Die Prüfinhalte des Artikels 28 DSGVO sind detailliert zu überprüfen im Hinblick auf
- Auswahl zuverlässiger Dienstleister
- Überprüfung der Weisungsrechte und Pflichten
- Überprüfung des gebotenen Datenschutz- und Datensicherheitsniveaus
- Überprüfung der technisch-organisatorische Maßnahmen des Auftragsverarbeiters
· Problemlage: Vertragsmanagementsysteme sind bisher nicht vorhanden oder werden derzeit erst implementiert.
· Verträge wurden bei allen Gemeinden dezentral abgelegt. Eine Übersicht fehlt.
· Ggf. sind Nachbesserungen bei den Vertragspartnern einzufordern. Nicht alle Vertragspartner haben mit Inkrafttreten der DSGV rechtssichere Verträge geliefert.
· Wichtig: Keine zusätzlichen Verantwortlichkeiten und Pflichten auf die Gemeinden übertragen lassen.
·
Überprüfung
der Berechtigungs- und Rollenkonzepte
· Der Grundsatz der Datenminimierung findet seinen Ausdruck darin, dass nur Berechtigungen dort gewährt werden sollen, wo sie zur Aufgabenerfüllung erforderlich sind.
· Die Steuerung der Zugriffsrechte ist in der Regel in einem Berechtigungskonzept mit definierten Rollen und deren jeweiligen Rechten zu dokumentieren.
· In kleinen Gemeinden bedeutet dies: Fast jeder darf fast alles, weil jeder jeden vertreten muss.
· Im Landratsamt – etwas im Jugendamt mit 100 Mitarbeitenden bedeutet es eine sehr kleinteilige Dokumentation.
·
Dokumentation
der technisch und organisatorischen Maßnahmen zum Schutz personenbezogener
Daten
· Insbesondere sind Verfahren auf datenschutzfreundliche Voreinstellungen zu überprüfen. Dies beinhaltet z.B. auch die Berechtigungen (s. vorh. Punkt).
· Abstimmung der Schnittmengen mit der IT-Sicherheit:
· Vermeidung von doppelten Strukturen hinsichtlich des „technischen“ Datenschutzes; bei technisch-organisatorischen Maßnahmen kann auf ein vorhandenes IT-Sicherheitskonzept hingewiesen werden, wenn dieses die datenschutzrechtlichen Anforderungen erfüllt.
· Bestandsaufnahmen sind bereits erfolgt; erforderlich: Abstimmung mit den ISBs.
·
Datenschutzfolgenabschätzungen
= Risikoanalysen sind bei sensiblen Verfahren gem. Art. 35 DSGVO durchzuführen.
· Beispielhaft im Gemeindebereich OK.EWO – AUTISTA – OK.PWS
· Worstcase-Betrachtung und entgegenwirkende technisch organisatorischen Maßnahmen liefert die AKDB
· Die örtlichen Verhältnisse in der Anwendung sind allerdings noch mit den ISBs zu überprüfen.
Arbeitsschwerpunkte im Jahr 2022 bisher; nach möglichst regionaler
Ausgewogenheit:
• Stadt Amorbach
• VG Kleinwallstadt
• Gemeinde Mömlingen – Personalwechsel - Geschäftsleitung
• Gemeinde Eichenbühl – Personalwechsel - Geschäftsleitung
• VG Stadtprozelten
• Gemeinde Collenberg – Personalwechsel – Geschäftsleitung
• Markt Elsenfeld – Viele Einzelfallprüfungen
• Stadt Obernburg – Personalwechsel – Viele Einzelfallprüfungen
• Markt Eschau - Personalwechsel
• VG Mönchberg
• Gemeinde Leidersbach – Personalwechsel
• Stadt Wörth a. Main
• Stadt Miltenberg – Viele Einzelfallprüfungen
• VG Erftal
• Der
Arbeitsschwerpunkt im 2. Halbjahr wird sich auf die weiteren Kommunen
konzentrieren.
·
Mitarbeiter-Schulungen
gelten als wichtige und zentrale Methode zur Sensibilisierung
Nach Art. 39 Abs. 1 Buchst. b Datenschutz-Grundverordnung (DSGVO) sind Mitarbeiter, die Umgang mit personenbezogenen Daten haben, zum Thema Datenschutz zu schulen.
Außerdem stellt die Sensibilisierungen, sprich: Awareness, eine organisatorische Maßnahme zur Umsetzung des Datenschutzes dar. (Art. 24 Abs. 1 Satz 1 DSGVO).
Drei Faktoren spielen beim Datenschutz eine Rolle:
1. Die Technik
2. die Organisation von Prozessen
3. die beteiligten Personen, die mutwillig oder unbeabsichtigt Schutzmechanismen überwinden oder außer Kraft setzen können.
Der größte Sicherheitsfaktor sind dabei tatsächlich die Mitarbeitenden.
· Mitarbeitersensibilisierung – gemeindeübergreifende Schwerpunkt-Schulungen
- PRIO 1: Schulung im Bereich Einwohnermeldeamt-Bürgerbüro
- 1. Termin für Nordkreis-Gemeinden im Oktober 2021 in Sulzbach
- Der Inhalt ist sodann beliebig übertragbar für weitere Regionaltermine
- Bietet individuellere und vertiefende fachliche Informationen
· Präsenztermine für eine breite Basisschulung sind bisher an der Pandemie sowie am logistischen Aufwand gescheitert, es wären etliche 100 Mitarbeiterinnen und Mitarbeiter betroffen.
· Alternative: Nutzung eines Awareness-Tools.
· Das Format CYBER SECURITY AWARENESS der Firma SoSafe wird für die Informationssicherheit bereits in den meisten Kommunen genutzt.
· Datenschutzmodule werden hierzu kostenpflichtig angeboten. Die Anschaffung im Rahmen des KomBN wurde von mir initiiert und sollte in den nächsten Wochen auch zum Einsatz kommen. Im Landratsamt wird die Software bereits erfolgreich eingesetzt.
·
Vorteile
für die Gemeinden:
• SoSafe bewährt sich im Landratsamt bereits.
• Wir setzen SoSafe bereits für die Informationssicherheit ein.
• Mitarbeiterinnen und Mitarbeiter sind mit dem Tool vertraut; es findet Akzeptanz.
• Flexibilität der Mitarbeitenden – Freie Zeiteinteilung
• Verhaltenspsychologischer Ansatz
• Smarte Technologie
• Präsenzschulungen waren und sind schwer planbar (Pandemie)
• Zu hohe Anzahl zu sensibilisierender Mitarbeiterinnen und Mitarbeiter
• Datenpannen können eine Schadensersatzpflicht nach sich ziehen (Art, 82 DSGVO)
Konkrete Prüfgebiete in jüngster Zeit:
·
Videoüberwachung
nach Art. 24 BayDSG bedeutet eine komplexe Prüfung; viel Vorarbeit zahlreiche
Konstellationen in den letzten Monaten und in der Gegenwart
- Überwachung von Bauhöfen – erweitertes Hausrecht
- Überwachung öffentlicher Verkehrsflächen – unmöglich
- Überwachung Bahnhofsvorplätze - Gefahrenabwehr – Kommune unzuständig
- Webcam Verkehrskreisel zur Dokumentation eines Baufortschrittes – unmöglich
- Überwachung von Sitzgruppen auf dem frei zugänglichen Schulgelände – schwierig
- Dauerhaften Überwachung eines gefangenen Raumes im Rathaus – schwierig
- Überwachung eines Museumsinnenraumes – Abwägung, Hausrecht, Schutz des Eigentums
- Überwachung eines Volksfestes – keine Rechtsgrundlage – wohl aber PAG
- Immer ist eine Vorfalls-Dokumentation erforderlich. Erforderlichkeit muss gegeben sein.
- Mildere Mittel müssen ausscheiden. 99% der
Bürger geben keine
Überwachungsveranlassung und deren Rechte müssen wir alle wahren.
·
Auskunftsersuchen
nach Art. 15 DSGVO
- Auskunftsersuchen
nach Art. 15 ff. DSGVO sind hinsichtlich ihrer Bearbeitung zeitintensiv
und binden viele Verwaltungskräfte. Die Anzahl nimmt stetig zu.
·
Koordination
von Datenschutzverletzungen nach Art. 33 DSGVO
- Häufung von Datenpannen mit geringfügigen oder weitreichenderen Auswirkungen.
- Immer besteht eine Meldepflicht und gegenüber den Betroffenen eine Rechtfertigungspflicht.
-
Im schlimmsten Fall haben wir als öffentliche
Stellen sogar eine Schadensersatzpflicht,
auch für Immaterielle Schäden.
·
Viele
Einzelfallprüfungen aus allen Rechtsgebieten binden viel Zeit, sind aber auch
aufschlussreich für andere Kommunen.
- Datenschutz und
Corona: Als öffentliche Verwaltung sind wir mehr als die freie Wirtschaft
zu rechtmäßigem Handeln verpflichtet.
- Hinweis der DSK
(Konferenz der unabhängigen Datenschutzaufsichtsbehörden des
Bundes und der Länder):
- „Krisenzeiten
ändern nichts daran, dass die Verarbeitung personenbezogener Daten stets
auf einer gesetzlichen Grundlage zu
erfolgen hat.“
·
Prognose:
- Arbeiten in einer Gemeinde haben unmittelbar Synergien für alle Beteiligte.
- Drum bewegt sich
auch dann für alle etwas, wenn es sich nur an einer anderen Stelle
bewegt.
- Je mehr sich
Gemeinden mit dem Datenschutz auseinandersetzen, umso höher wird die
Aufmerksamkeit; das Bewusstsein bei
den meisten Gemeinden zur Selbstverantwortung
und zur Beteiligung des DSB wächst.
- Folge: Steigerung
der Qualität und des Niveaus des Datenschutzes für alle beteiligten
Gemeinden.
-
Der Bayerische Kommunale Prüfungsverband wird
auch den Datenschutz für sich
entdecken, wie auch die IT inzwischen Regelmäßig große Teile des Prüfberichtes
umfassen.